目標達成 すべての支援者に感謝 — 100%達成しました!

目標: 1000 CNY · 調達済み: 1000 CNY

100.0%
コーヒーを一杯おごる

CVE-2022-29196— Google TensorFlow输入验证错误漏洞

CVSS 5.5 · Medium EPSS 0.06% · P17
新しい脆弱性情報の通知を購読するログインして購読

I. CVE-2022-29196の基本情報

脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗

高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。

脆弱性タイトル
Missing validation causes denial of service in TensorFlow via `Conv3DBackpropFilterV2`
ソース: NVD (National Vulnerability Database)
脆弱性説明
TensorFlow is an open source platform for machine learning. Prior to versions 2.9.0, 2.8.1, 2.7.2, and 2.6.4, the implementation of `tf.raw_ops.Conv3DBackpropFilterV2` does not fully validate the input arguments. This results in a `CHECK`-failure which can be used to trigger a denial of service attack. The code does not validate that the `filter_sizes` argument is a vector. Versions 2.9.0, 2.8.1, 2.7.2, and 2.6.4 contain a patch for this issue.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
输入验证不恰当
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
Google TensorFlow输入验证错误漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
Google TensorFlow是美国谷歌(Google)公司的一套用于机器学习的端到端开源平台。 Google TensorFlow 2.9.0之前版本、2.8.1之前版本、2.7.2之前版本、2.6.4之前版本存在输入验证错误漏洞,该漏洞源于 tf.raw_ops.Conv3DBackpropFilterV2 不会完全验证输入参数,从而导致 CHECK 失败,并且触发拒绝服务攻击。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)

影響を受ける製品

ベンダープロダクト影響を受けるバージョンCPE購読
tensorflowtensorflow < 2.6.4 -

II. CVE-2022-29196の公開POC

#POC説明ソースリンクShenlongリンク
AI生成POCプレミアム

公開POCは見つかりませんでした。

ログインしてAI POCを生成

III. CVE-2022-29196のインテリジェンス情報

登录查看更多情报信息。

Same Patch Batch · tensorflow · 2022-05-20 · 24 CVEs total

CVE-2022-292167.8 HIGHCode injection in `saved_model_cli` in TensorFlow
CVE-2022-292087.1 HIGHSegfault and Out-of-bounds Write write due to incomplete validation in TensorFlow
CVE-2022-292055.5 MEDIUMSegfault due to missing support for quantized types in TensorFlow
CVE-2022-292135.5 MEDIUMIncomplete validation in signal ops leads to crashes in TensorFlow
CVE-2022-292105.5 MEDIUMHeap buffer overflow due to incorrect hash function in TensorFlow
CVE-2022-292095.5 MEDIUMType confusion leading to `CHECK`-failure based denial of service in TensorFlow
CVE-2022-292115.5 MEDIUMSegfault in TensorFlow if `tf.histogram_fixed_width` is called with NaN values
CVE-2022-292125.5 MEDIUMCore dump when loading TFLite models with quantization in TensorFlow
CVE-2022-292015.5 MEDIUMMissing validation in `QuantizedConv2D` results in undefined behavior in TensorFlow
CVE-2022-292025.5 MEDIUMDenial of service in TensorFlow due to lack of validation in `tf.ragged.constant`
CVE-2022-292035.5 MEDIUMInteger overflow in `SpaceToBatchND` in TensorFlow
CVE-2022-292045.5 MEDIUMMissing validation causes denial of service in TensorFlow via `Conv3DBackpropFilterV2`
CVE-2022-291925.5 MEDIUMMissing validation crashes `QuantizeAndDequantizeV4Grad` in TensorFlow
CVE-2022-292065.5 MEDIUMMissing validation results in undefined behavior in `SparseTensorDenseAdd` in TensorFlow
CVE-2022-292075.5 MEDIUMUndefined behavior when users supply invalid resource handles in TensorFlow
CVE-2022-291955.5 MEDIUMMissing validation causes denial of service in TensorFlow via `StagePeek`
CVE-2022-291975.5 MEDIUMMissing validation causes denial of service in TensorFlow via `UnsortedSegmentJoin`
CVE-2022-291985.5 MEDIUMMissing validation causes denial of service in TensorFlow via `SparseTensorToCSRSparseMatr
CVE-2022-291995.5 MEDIUMMissing validation causes denial of service in TensorFlow via `LoadAndRemapMatrix`
CVE-2022-292005.5 MEDIUMMissing validation causes denial of service in TensorFlow via `LSTMBlockCell`

Showing 20 of 24 CVEs. View all on vendor page →

IV. 関連脆弱性

同じ製品: tensorflow
同じベンダー: tensorflow
同じ弱点: CWE-20

V. CVE-2022-29196へのコメント

まだコメントはありません

コメントを残す